如果您需要打開從 DMZ 到 LAN 的埠，那麼分離在什麼時候不再值得？

如果您有一個帶有一個或多個伺服器/服務（可能是 FTP、HTTP 和 SMTP）的 DMZ。並且您有一個帶有典型伺服器服務（如文件共享、Active Directory、數據庫伺服器）的 LAN。

根據服務和資源的整合，DMZ和區域網路之間的防火牆可以有很多開放的埠。在什麼時候您會考慮不使用 DMZ？

謝謝！

沒有我會考慮不使用 DMZ 的實際測量。有了安全性，您可以獲得的每一點額外的幫助。這個想法是，限制可能的攻擊數量。 作為管理員，我們經常不得不為我們被允許實施的安全性而戰，所以盡你所能。 即使您必須將區域網路中的主機完全打開到DMZ，一台主機也比每台主機都要好得多。

您所說的一個實際範例是將前端交換伺服器放在 DMZ 中，並將後端和活動目錄放在 LAN 中。儘管這些仍然可以從 DMZ 到達，但至少您已經限制了通過的可能方式。然後，您可以努力關注與這些特定服務相關的任何安全通知。

引用自：https://serverfault.com/questions/63673